Anasayfa/ Makale/ İdare Hukukunda Kişisel Veri İhlalleri ve...

Makale

İdarenin yürüttüğü faaliyetler sırasında kişisel verilerin korunması hakkını ihlal etmesi, hukuki sorumluluğunu doğurmaktadır. Bu sorumluluk, hizmet kusuru veya kusursuz sorumluluk esaslarına dayanarak şekillenir. Kişiler, idari eylem ve işlemlerden doğan maddi ve manevi zararlarının tazmini için idari yargıda tam yargı davası açma hakkına sahiptir.

İdare Hukukunda Kişisel Veri İhlalleri ve Sorumluluk

KUSURSUZ SORUMLULUK MANEVİ TAZMİNAT

Günümüzde devlet, yürüttüğü kamu hizmetlerinin bir gereği olarak vatandaşlara ait devasa büyüklükte kişisel veriyi elinde bulunduran en büyük veri sorumlusu konumundadır. Bu bağlamda idarenin kişisel verileri işlerken, anayasal bir hak olan kişisel verilerin korunması hakkına titizlikle riayet etmesi zorunludur. Ancak uygulamada, idarenin eylem ve işlemleri sırasında kişisel veri ihlallerinin sıklıkla yaşandığı ve vatandaşların telafisi güç zararlara uğradığı görülmektedir. İdarenin, sahip olduğu bu veri havuzunu hukuka uygun bir şekilde koruyamaması, yetkisiz erişimlere açık hale getirmesi veya hukuka aykırı şekilde üçüncü kişilerle paylaşması, idarenin hukuki sorumluluğunu doğrudan gündeme getirmektedir. Hukuk devleti ilkesinin temel bir gereği olarak, idare yürüttüğü kamu hizmetleriyle illiyet bağı kurulabilen zararları tazminle yükümlüdür. Bu sorumluluk, idare hukukunun temel ilkeleri çerçevesinde kusurlu sorumluluk ve kusursuz sorumluluk olmak üzere iki farklı boyutta değerlendirilmektedir. İdarenin bu sorumluluğu, ihlale uğrayan kişilerin idari yargı mercilerinde hak aramalarına ve maddi ile manevi tazminat talebinde bulunmalarına hukuki zemin oluşturmaktadır.

İdarenin Kusurlu Sorumluluğu: Hizmet Kusuru

İdare hukukunda hizmet kusuru, idarenin yürütmekle görevli olduğu bir hizmetin kuruluşunda, işleyişinde veya düzenlenişinde ortaya çıkan nesnel nitelikli bozukluk veya aksaklıkları ifade eder. Kişisel verilerin korunması alanında idarenin kusurlu sorumluluğu, kamu hizmetinin kötü, geç veya hiç işlememesi hallerinde ortaya çıkmaktadır. Örneğin, bir devlet hastanesinde tedavi gören hastaya ait özel nitelikli sağlık verilerinin, resmi bir talep bulunmaksızın veya yetkisiz idare personeli eliyle üçüncü kişilerle paylaşılması açık bir hizmet kusurudur. Aynı şekilde, mahkeme kararlarının kişisel veriler karartılmadan yayınlanması, memurların gizli sicil raporlarının yetkisiz kişilerce görülmesini engelleyecek tedbirlerin alınmaması gibi durumlar, idarenin veri güvenliğini sağlama yükümlülüğünü ihlal ettiği anlamına gelir. Bu tür ihlaller sonucunda bireylerin uğradığı maddi ve manevi zararlar, idarenin kusurlu sorumluluğu kapsamında tazmin edilmelidir.

İdarenin Kusursuz Sorumluluğu

İdarenin sorumluluğunun doğduğu bir diğer hal ise kusursuz sorumluluk ilkesidir. Günümüzde milyonlarca vatandaşa ait veriyi barındıran ağ tabanlı dijital kamu hizmetlerinin sunumu sırasında, idarenin tüm siber güvenlik önlemlerini almasına rağmen siber saldırılar sonucunda verilerin ifşa olması durumunda bu sorumluluk türü devreye girmektedir. Sanal ortamın doğası gereği barındırdığı riskler göz önüne alındığında, idarenin hukuka uygun davrandığı hallerde dahi meydana gelen zararlardan sorumlu tutulması, tehlike sorumluluğu ve kamu külfetleri karşısında eşitlik ilkelerinin bir gereğidir. Dijital risklerin, kamu hizmetinden yararlanan vatandaşlara yüklenmesi hakkaniyetle bağdaşmayacağından, siber saldırı gibi öngörülemez teknolojik risklerin gerçekleşmesi halinde idarenin kusursuz sorumluğuna gidilerek zarar gören vatandaşların zararlarının idare tarafından tazmin edilmesi gerekmektedir.

Kişisel Veri İhlallerinde Tam Yargı Davası ve Tazminat

İdarenin eylem veya işlemlerinden dolayı kişisel verileri hukuka aykırı şekilde işlenen veya ifşa edilen vatandaşlar, idari yargıda tam yargı davası açarak zararlarının giderilmesini talep edebilirler. İdari yargıdaki tam yargı davalarında tazminata hükmedilebilmesi için temel olarak şu unsurların gerçekleşmiş olması aranmaktadır:

  • İdare tarafından gerçekleştirilen hukuka aykırı bir veri işleme eylemi veya işlemi bulunmalıdır.
  • İlgili kişinin kişisel verilerinin ihlali sebebiyle doğrudan bir maddi veya manevi zarar doğmuş olmalıdır.
  • Gerçekleşen zarar ile idarenin veri işleme veya koruma faaliyeti arasında açık bir nedensellik bağı bulunmalıdır.

Özellikle kişisel verilerin hukuka aykırı olarak ifşa edilmesi, bireylerin iş ve sosyal yaşamlarında ağır sonuçlar doğurabildiğinden, idare aleyhine hükmedilecek manevi tazminat miktarının sembolik olmaması ve caydırıcı bir nitelik taşıması hukuk devleti ilkesinin önemli bir gereğidir.

Memurların Disiplin Sorumluluğu ve Yaptırım Rejimi

Mevzuatımız, idari yaptırımlar bağlamında kamu idareleri ile özel hukuk tüzel kişileri arasında farklı bir rejim benimsemiştir. İhlal durumunda özel şirketlere yüksek miktarlarda idari para cezaları uygulanabilirken, veri sorumlusu kamu kurumlarına idari para cezası verilememektedir. Bunun yerine, idare bünyesinde gerçekleşen veri ihlallerinde, ihlale sebebiyet veren veya veri güvenliğini sağlamada ihmali bulunan ilgili kamu görevlileri hakkında disiplin soruşturması başlatılması talep edilmektedir. Ancak kamu görevlilerinin şahsi kusurundan ziyade idarenin sistemsel bir kararından kaynaklanan ihlallerde, disiplin hükümlerinin kime ve nasıl uygulanacağı belirsizlik taşımaktadır. Bu ikili sistem, idare üzerinde yeterli bir caydırıcılık sağlamamakla birlikte, kamu personeli için işletilecek disiplin yaptırımlarının yeknesak ve adil bir şekilde uygulanması sorunsalını doğurmaktadır.

4 dk okuma Yayınlanma: Güncelleme: